Kubernetes C#客户端中一个新披露的漏洞已被分配编号CVE-2025-9708,CVSS评分为6.8(中等严重度)。该漏洞源于自定义证书颁发机构(CA)模式下的证书验证逻辑不当,可能导致中间人(MITM)攻击和API身份伪造风险。
安全公告指出:“Kubernetes C#客户端存在一处漏洞,其证书验证逻辑会接受任何CA签发的格式正确的证书,而未正确验证信任链。此缺陷允许恶意攻击者出示伪造证书,潜在拦截或篡改与Kubernetes API服务器的通信。”
影响范围与攻击条件
该漏洞影响通过kubeconfig文件中的自定义CA证书,以TLS/HTTPS协议连接Kubernetes API服务器的组织。公告明确:“若你使用Kubernetes C#客户端通过kubeconfig中的自定义CA证书连接Kubernetes API服务器,且连接通过不可信网络进行,则处于风险中。”
所有v17.0.14之前的版本均受影响。
攻击后果:MITM与API伪造
利用此漏洞,攻击者可伪造由任意CA签名的证书并提交给客户端。由于信任链未被正确验证,客户端可能将伪造证书视为有效,从而导致:
- MITM攻击:敏感API通信被拦截或篡改;
- API服务器身份伪造:攻击者发送未授权命令或窃取敏感数据。
在通过公共或不可信网络管理Kubernetes集群的环境中,风险尤其高。
修复与临时缓解措施
Kubernetes C#客户端v17.0.14及以上版本已修复该漏洞,组织应尽快升级。
对于无法立即补丁的情况,公告提供临时缓解方案:
- 将CA证书移至系统信任存储,而非在kubeconfig中指定(注意:此操作可能引入新风险,系统所有进程将信任该CA签名的证书);
- 禁用kubeconfig中的自定义CA,将CA添加至机器的受信任根存储。
暴露评估建议
安全团队应采取以下步骤评估暴露风险:
- 审查Kubernetes客户端应用,检查证书验证逻辑;
- 检查kubeconfig文件中certificate-authority字段是否使用自定义CA证书;
- 监控客户端日志,排查异常或不可信证书连接记录。
发表评论
您还未登录,请先登录。
登录